tokens de acceso de Android y acceso a todos los servicios de Google

Question

tokens de acceso de Android y acceso a todos los servicios de Google

#1 de rook (2 votos)

2

Mi pregunta se basa en la respuesta a esa pregunta: ¿Se puede recuperar la contraseña de Gmail de la ¿Aplicación de Android Gmail?

Entonces, como entiendo cuando configuramos la cuenta de Google en dispositivos Android, almacena solo token para ello. ¿Pero restringe Google el acceso a los servicios propios para ese token? Como sé, una vez que configuramos las credenciales en el dispositivo, podemos usar muchas aplicaciones de Google dentro del mismo token, como Gmail, Google Plus, Youtube, Google Calendar, Play Store, Chrome, etc. Y también Chrome también se autenticará dentro de este token para navegar por la web.

Entonces, ¿significa que si alguien roba ese token, podemos hacer todas estas operaciones manualmente?

Lo sé, si usamos Google OAuth para algunos permisos, el token creado estará restringido solo a los permisos que solicitamos. Pero, ¿Android adquiere como un token poderoso que funciona para todos los servicios de Google?

password-management authentication google android

pregunta Sergey Litvinov 03.11.2013 - 15:23

fuente

1 respuesta

Lea otras preguntas en las etiquetas password-management authentication google android

Ejecutando el navegador como un usuario diferente (en Linux) Implicaciones de seguridad de las credenciales compartidas en el APN privado

score 2 · Accepted Answer

Google utiliza un token de portador OAuth para autenticar las aplicaciones en los recursos respaldados. El usuario todavía tiene que escribir el nombre de usuario y la contraseña para obtener este token.

¿Puede un atacante secuestrar el token? Sí, si un atacante ha descifrado el teléfono de una víctima, puede leer cualquier secreto en el dispositivo. Por lo tanto, un atacante puede obtener el token de autenticación de una aplicación de Google mediante un depurador (u otro método) y luego obtener acceso autorizado a un servicio de Google desde el teléfono ... Así que mantenga su sistema actualizado.

Los ataques contra tokens de autenticación móvil similares pueden resultar al registrar accidentalmente el token. Esta es una vulnerabilidad bastante común, pero Google no cometería este error. (Google tiene problemas de seguridad y el programa de recompensas de errores me ha tratado bien).